Cliqz deckt Datenschutzproblem bei bing.com und anderen Microsoft-Seiten auf

Datenschutzforscher von Cliqz haben auf Microsoft-Websites wie bing.com, microsoft.com und office365.com ein Datenschutz- und Sicherheitsproblem entdeckt. Es ermöglichte Angreifern unter anderem, Nutzer mittels einer durchgesickerten Benutzerkennung zu deanonymisieren.

Konkret fanden die Cliqz-Forscher bei ihrer Analyse mehrere Dienste, die offenbar Anfragen an Hostnamen sendeten, die eine Benutzerkennung enthielten. Eigentlich ist beim Datenversand via HTTPS davon auszugehen, dass die gesendeten Daten privat bleiben, weil sie zwischen Browser und Hostserver verschlüsselt sind. Die Adresse, an die die Daten gesendet werden sollen, d.h. der Hostname, ist im vorliegenden Fall aber nicht verschlüsselt: Er kann durch eine DNS-Abfrage oder beim HTTPS-Handshake durchsickern. Werden nun Benutzerkennungen im Hostnamen gesendet, kann dies zu Sicherheits- und Datenschutzproblemen führen:

• Wenn die Benutzerkennung zur Authentifizierung eingesetzt wird, kann ein Angreifer mittels Netzwerk-Snooper sie auslesen und sich damit als Benutzer authentifizieren.
• Da die Benutzerkennung dauerhaft gleich bleibt, kann ein Angreifer die Aktivitäten des zugehörigen Nutzers solange nachverfolgen, wie dieser im Netzwerk angemeldet ist. Jemand, der in der Lage ist, viele verschiedene Netzwerke zu beobachten (z.B. ein Internet Service Provider), kann Benutzer auch netzwerkübergreifend verfolgen.

Da die betroffenen Microsoft-Websites sehr häufig besucht werden, sind die Auswirkungen auf die Privatsphäre durch die durchgesickerte Benutzerkennung erheblich. Je häufiger ein Nutzer etwa die Bing-Suche verwendet oder Dokumente in Office 365 bearbeitet, desto häufiger sendet er eine Anfrage, die zur Offenlegung der Benutzerkennung führen kann. Und jede gesendete Anfrage erleichtert Angreifern, den Nutzer über mehrere Netzwerke hinweg zu verfolgen.

Neben dem Aktivitäten-Tracking sind noch weitere Angriffsszenarien denkbar. Beispielsweise reicht die Benutzerkennung aus, um den Avatar des Nutzers von seinem Microsoft-Konto herunterzuladen. Ebenso ließen sich sehr einfach Daten aus dem öffentlichen OneDrive-Ordner des Nutzers auslesen und herunterladen. Letzteres ist zwar nicht als schwerwiegende Sicherheitslücke zu werten, weil die Daten ja ohnehin öffentlich sind. Aber viele Nutzer erwarten sicherlich nicht, dass auch Personen auf ihre Dateien zugreifen können, denen sie nie den Link zu ihrem öffentlichen Ordner geschickt haben.

Die Cliqz-Datenschutzforscher haben Microsoft das Problem bereits Ende April 2017 gemeldet. Im August wurde es von Microsoft bestätigt. Inzwischen hat der Konzern aus Redmond es auf allen betroffenen Websites behoben. Eine Überprüfung durch Cliqz ergab Folgendes:

• www.microsoft.com: Behoben am 30.07.2017.
• support.microsoft.com: Behoben am 30.07.2017.
• account.microsoft.com: Behoben am 06.12.2017.
• www.bing.com: Behoben am 19.02.2018.

Cliqz- und Ghostery-8-Nutzer waren nie von den geschilderten Datenschutz- und Sicherheitsproblemen betroffen. Denn das Anti-Tracking auf Basis von Künstlicher Intelligenz (KI), das im Cliqz Browser und der jüngsten Ghostery-Version zum Einsatz kommt, entfernt die im Hostnamen enthaltene Benutzerkennung. Dies hat keine Auswirkungen auf die Website-Funktionalität und verhindert, dass Angreifer Nutzeraktivitäten im Netzwerk verfolgen können.

Weitere Informationen und technische Details finden sich im englischsprachigen Originalartikel von Cliqz-Softwareentwickler Sam Macbeth.